EEUU

Durante más de una década, la seguridad cibernética ha sido una preocupación tanto para el gobierno como para el sector privado. El crecimiento del sector de tecnología de la información y comercio electrónico en los Estados Unidos ha dado lugar a delitos cibernéticos. Y eso ha causando una gran pérdida para el gobierno de los Estados Unidos y sus ciudadanos.

Las infracciones de datos han ganado más atención debido al impacto de la digitalización en las industrias financieras, de salud, Pymes y otras.

A pesar de que las violaciones de datos ocurrieron mucho antes de que la digitalización se incrementara, la popularidad de las plataformas digitales le dio una nueva dimensión a estas violaciones. Porque la importancia, el volumen y el coste de las violaciones de datos han aumentado considerablemente.

En 2016 se produjo la mayor violación de datos hasta la fecha en la historia de los EEUU. Yahoo reveló que los piratas informáticos robaron datos e información de usuarios relacionados con al menos 500 millones de cuentas en 2014. En diciembre de 2016, la compañía anunció otro ataque en 2013 que afectó a más de mil millones de registros de usuarios.

Hoy echamos un vistazo a las leyes y regulaciones de ciberseguridad de los Estados Unidos.

Legislación de ciberseguridad en EE.UU.

Estados Unidos generalmente aborda la ciberseguridad a través de estatutos, regulaciones y requisitos de la industria privada específicos del sector.

A nivel federal, numerosas agencias imponen estándares de ciberseguridad a través de una variedad de mecanismos regulatorios y de aplicación.

Leyes federales

Existen tres regulaciones federales de seguridad cibernética principales:

  • Ley de Responsabilidad y Portabilidad del Seguro de Salud de 1996 (HIPAA)
  • Ley Gramm-Leach-Bliley de 1999
  • Legislación de Seguridad Nacional de 2002, que incluyó la Ley Federal de Gestión de Seguridad de la Información (FISMA)

Estas tres regulaciones exigen que las organizaciones de atención médica, las instituciones financieras y las agencias federales protejan sus sistemas e información. Sin embargo, estas reglas no son infalibles para proteger los datos y solo requieren un nivel de seguridad razonable.

Por ejemplo, FISMA, que se aplica a todas las agencias gubernamentales, requiere el desarrollo y la implementación de políticas, principios, estándares y directrices obligatorios sobre seguridad de la información.

Sin embargo, estas regulaciones no abordan numerosas industrias relacionadas con la informática, como los proveedores de servicios de Internet (ISP) y las compañías de software. Además, el lenguaje vago de estas regulaciones deja mucho espacio para la interpretación.

En un esfuerzo reciente para fortalecer sus leyes de seguridad cibernética, el gobierno federal está introduciendo leyes nuevas de ciberseguridad. Y enmendando las más antiguas para un mejor ecosistema de seguridad.

A continuación se presentan algunas de ellas.

Ley de intercambio de información sobre ciberseguridad (CISA)

Su objetivo es mejorar la ciberseguridad en los Estados Unidos a través del intercambio mejorado de información sobre amenazas de ciberseguridad y para otros fines.

La ley permite el intercambio de información de tráfico de Internet entre el gobierno de EE.UU. y las empresas de tecnología y fabricación. El proyecto de ley se presentó en el Senado de los Estados Unidos el 10 de julio de 2014 y se aprobó el 27 de octubre de 2015.

Ley de mejora de la ciberseguridad de 2014

Esta ley se promulgó el 18 de diciembre de 2014. Proporciona una asociación pública y privada voluntaria y en curso para mejorar la ciberseguridad y fortalecer la investigación y el desarrollo de la ciberseguridad, el desarrollo de la fuerza laboral y la educación y la conciencia pública y la preparación.

Ley de notificación de incumplimiento de datos de la Bolsa Federal de 2015

Esta ley requiere un intercambio de seguro de salud para notificar a cada individuo cuya información personal se sabe que se obtuvo o accedió como resultado de una violación de la seguridad de cualquier sistema. La notificación debe hacerse lo antes posible pero a más tardar 60 días después del descubrimiento de la violación.

Nationa l Ciberseguridad Ley de Protección de Avance de 2015

Esta ley modifica la Ley de Seguridad Nacional de 2002 para permitir que el Departamento de Seguridad Nacional y centro de integración de comunicaciones (NCCIC) incluyan los gobiernos tribales, intercambio de información, y los centros de análisis, y entidades privadas entre sus representantes no federales.

Leyes estatales

Los gobiernos estatales también han tomado medidas sinceras para mejorar la seguridad cibernética al aumentar la visibilidad pública de las empresas con seguridad débil.

En 2003, California aprobó la Ley de incumplimiento de seguridad que exige que cualquier compañía que mantenga información personal de ciudadanos de California y tenga una violación de seguridad, debe revelar los detalles del evento. Las regulaciones de violación de seguridad castigan a las empresas por sus fallos de seguridad cibernética y les dan la libertad de elegir cómo proteger sus sistemas.

Esta regulación crea un incentivo para que las compañías inviertan proactivamente en seguridad cibernética para evitar la pérdida potencial de reputación y pérdida económica. Esto funcionó bien para California y luego varios otros estados han implementado una normativa similar de notificación de violación de seguridad.

Leyes de seguridad cibernética de Nueva York

La industria de servicios financieros es un objetivo importante de las amenazas de seguridad cibernética. En los últimos años, el Departamento de Servicios Financieros del Estado de Nueva York ha estado monitorizando de cerca la amenaza cada vez mayor que los estados nacionales, las organizaciones terroristas y los actores criminales independientes representan para los sistemas de información y financieros.

Los ciberdelincuentes han tratado de explotar vulnerabilidades tecnológicas para obtener acceso a datos electrónicos sensibles. Estos delincuentes pueden causar pérdidas financieras significativas para las entidades así como para los consumidores de Nueva York, cuya información privada puede ser revelada y/o robada con fines ilícitos.

Dada la gravedad del problema y el riesgo para todas las entidades reguladas, se justifican ciertas normas mínimas regulatorias, aunque no son demasiado prescriptivas para que los programas de seguridad cibernética puedan igualar los riesgos relevantes y mantenerse al día con los avances tecnológicos.

En consecuencia, esta regulación está diseñada para promover la protección de la información del cliente, así como los sistemas de tecnología de la información de las entidades reguladas. Esta regulación requiere que cada compañía evalúe su perfil de riesgo específico y diseñe un programa que aborde sus riesgos de manera robusta.

La regulación de Seguridad Cibernética de Nueva York entró en vigencia desde el 1 de marzo de 2017.

Las entidades cubiertas deberán preparar y presentar anualmente al superintendente una Certificación de Cumplimiento con las Regulaciones de Seguridad Cibernética del Departamento de Servicios Financieros del Estado de Nueva York a partir del 15 de febrero de 2018.

Ley de privacidad del consumidor de California

La muy debatida ley de privacidad de California entra en vigencia oficialmente el 1 de enero de 2020, un año y medio después de su aprobación y firma, pero pasarán seis meses más antes de que sea aplicada a cualquier empresa de tecnología que venda datos personales sin permiso.

La Ley de Privacidad del Consumidor de California, o CCPA, es una ley a nivel estatal que requiere, entre otras cosas, que las empresas notifiquen a los usuarios la intención de obtener beneficios de sus datos y les proporcionen un medio directo para decidir no recibir dicha monetización.

Algunos de sus principios básicos son:

  • Las empresas deben revelar qué información recopilan, para qué propósito comercial lo hacen y cualquier tercero con el que compartan esos datos.
  • Se requerirá que las empresas cumplan con las solicitudes oficiales de los consumidores para eliminar esos datos.
  • Los consumidores pueden optar por que sus datos no se vendan, y las empresas no pueden tomar represalias cambiando el precio o el nivel de servicio.
  • Sin embargo, las empresas pueden ofrecer «incentivos financieros» para que se les permita recopilar datos.
  • Las autoridades de California tendrán la facultad de imponer multas a las empresas que incumplan esta normativa.

A partir de junio, los delitos se evaluarán con multas de miles de dólares por violación, algo que se acumula rápidamente en las escalas en las que trabajan empresas como Google y Facebook.

Adaptarse al CCPA será difícil, pero como lo ha demostrado el establecimiento del RGPD en Europa, está lejos de ser imposible y, en cualquier caso, los requisitos de la primera son considerablemente menos estrictos.

Estándares de ciberseguridad aplicados a la industria

Existen varios estándares de ciberseguridad aplicables a industrias específicas.

  • NIST Cybersecurity Framework, un estándar voluntario para promover la ciberseguridad. Para las instituciones financieras, el FFIEC ha emitido un Manual de seguridad de la información, que es una guía de auditoría para revisar las prácticas de seguridad de las instituciones financieras, proporcionando de manera efectiva las mejores prácticas para proteger contra las violaciones de seguridad.
  • PCI-DSS, estándares aplicables a comerciantes o vendedores que procesan datos de tarjetas de pago. La versión 3.2 entró en vigor el 1 de febrero de 2018. La versión 3.2.1, publicada en mayo de 2018, incluye ediciones aclaratorias.
  • El DFARS contiene un conjunto de normas aplicables a ciertos contratistas de defensa y exige el uso de cláusulas contractuales relacionadas con la seguridad cibernética en todos los contratos del Departamento de Defensa. Esta regla, que incluye requisitos con respecto a los controles de seguridad y la notificación de incidentes cibernéticos, ha sido muy criticada por la industria por ser demasiado onerosa.

¿Qué sectores de la economía son los más afectados por las leyes y regulaciones de ciberseguridad?

En varios aspectos, la industria de servicios financieros y el sector de la salud son los sectores más regulados con respecto a la ciberseguridad.

Las agencias bancarias federales promulgaron varias pautas de seguridad de datos en 2000, incluidas las ‘Pautas entre agencias que establecen estándares de seguridad de la información’.

Esta guía establece que se requiere que ciertas instituciones financieras cubiertas implementen programas integrales de seguridad de la información por escrito, incluyendo salvaguardas administrativas, técnicas y físicas apropiadas para el tamaño y la complejidad de las instituciones financieras y la naturaleza y el alcance de sus actividades.

Los reguladores financieros, a través del Consejo de Examen de Instituciones Financieras Federales (FFIEC), también han emitido una serie de folletos como parte del Manual de Examen de TI, cubriendo temas que van desde la seguridad de la información hasta la externalización de servicios tecnológicos hasta la gestión y la gobernanza.

La Comisión de Bolsa y Valores también ha emitido orientación para las empresas públicas y ha articulado los pasos tomará en el futuro para garantizar la preparación de la seguridad cibernética en el sector de valores. Algunos estados también han emitido requisitos de ciberseguridad para las instituciones financieras.

¿Existe alguna norma internacional de ciberseguridad?

Estados Unidos no ha adoptado ninguna norma internacional de ciberseguridad en la ley.

Sin embargo, el Instituto Nacional de Estándares y Tecnología (NIST) ha creado un Marco de Seguridad Cibernética, que establece normas voluntarias aplicables a las empresas de infraestructura crítica. Este incorpora muchos puntos de referencia internacionales como ejemplos de mejores prácticas para ayudar a las empresas estadounidenses a gestionar y reducir los riesgos de seguridad cibernética.

¿Cuáles son las medidas de protección mínimas que las organizaciones deben implementar para proteger los sistemas de tecnología de datos e información de las ciber amenazas?

Las industrias varían con respecto a las medidas de protección necesarias para evitar las amenazas cibernéticas y las violaciones de datos.

Tanto las empresas de salud como ciertas entidades de servicios financieros tienen requisitos mínimos que deben cumplir. Sin embargo, estos requisitos son generalmente amplios y no incluyen estándares técnicos específicos.

Por ejemplo, aunque las regulaciones identifican un nivel específico de encriptación que las compañías deben usar, estas no están obligadas a usarlo. En cambio, el cifrado de datos proporciona un puerto seguro para las empresas que de lo contrario se enfrentan a obligaciones de notificación en caso de una violación de la seguridad de los datos.

Los comerciantes, procesadores de pagos y otras partes que operan con tarjetas de pago, como las tarjetas de crédito, deben cumplir con varios requisitos técnicos bajo PCI-DSS, que se implementan a través de contratos entre las partes y no se promulgan en la ley. Estas normas incluyen 12 categorías de requisitos que las empresas deben cumplir con respecto a la seguridad de la información de la tarjeta de pago. Las empresas que no cumplan con las multas de riesgo de las marcas de tarjetas de pago.

Además de estos estándares obligatorios, el Marco de Seguridad Cibernética del NIST cataloga las mejores prácticas para identificar, proteger, detectar, responder y recuperarse de incidentes de seguridad cibernética mediante la creación de puntos de referencia y recomendaciones adaptables.

¿Cuáles son las principales ciberactividades penalizadas por las leyes estadounidenses?

En general, una amplia variedad de leyes penales se refieren a la ciberseguridad de una forma u otra. Por ejemplo, los estatutos penales federales abordan las siguientes actividades, entre otras:

  • hackeo de ordenadores;
  • robo de identidad;
  • espionaje económico;
  • robo de secretos comerciales;
  • irrumpir en sistemas informáticos y acceder, modificar o eliminar datos;
  • robar información confidencial;
  • desfigurar sitios web de Internet; y
  • inundar sitios web con grandes volúmenes de tráfico de Internet irrelevante para hacer que los sitios web no estén disponibles para clientes reales.

Muchas leyes estatales también se han modificado en los últimos años para promulgar prohibiciones criminales similares asociadas con las intrusiones cibernéticas.

Por ejemplo, en 2016, California modificó sus leyes penales para prohibir el uso de ‘ransomware’, que a menudo es un malware diseñado para bloquear el acceso a una computadora hasta que se pague un rescate.

A finales de 2018, California promulgó una ley que entró en vigor a mediados de 2019, y considera ilegal que cualquier persona use un bot para comunicarse o interactuar con otra persona online, con la intención de engañar a esa persona sobre su identidad para incentivar una compra o venta de bienes o servicios en una transacción comercial o para influir en un voto.

Conclusión

Siguiendo el aspecto de las leyes y regulaciones de seguridad cibernética de los Estados Unidos anteriores, es bastante evidente que el gobierno ha estado trabajando para introducir leyes más estrictas para equipar a las organizaciones para proteger los datos de las últimas amenazas cibernéticas. Sin embargo, los ciberataques exitosos en los sistemas gubernamentales aún ocurren a pesar de los esfuerzos del gobierno. Esto también es válido para las empresas privadas.

Es aconsejable que las organizaciones se vuelvan proactivas sobre la seguridad de sus aplicaciones y datos. Los ciberdelincuentes siempre están al acecho y se están volviendo sofisticados en su enfoque de ataque. Por la misma razón, las empresas deben mantener un control regular de sus sistemas para identificar cualquier vulnerabilidad y abordar las lagunas de inmediato.